W dążeniu do doskonałości CISCO TRUSTSEC

W dążeniu do doskonałości CISCO TRUSTSEC Przemysław Pisarek CISSP

Przemysław Pisarek ppisarek@cisco.com nowości, architektura, uwierzytelnienie, autoryzacja, profilowanie Paweł Latała platala@cisco.com SGA / SGT MACSec Gabriel Kujawski gkujawsk@cisco.com NAC/posture, Dostęp gościnny, MDM, dobre praktyki 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

O czym mówiliśmy na Cisco Secure 2012 Tożsamość BYOD 802.1x Trustsec Radius CoA Monitor/Authenticated/Enforcement/Closed Mode Flexauth i priorytety Telefonia IP i 802.1x ISE uwierzytelnienie/autoryzacja/profilowanie 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 3

O czym mówiliśmy na Cisco Secure 2012 Tożsamość BYOD 802.1x Trustsec Radius CoA Monitor/Authenticated/Enforcement/Closed Mode Flexauth i priorytety Telefonia IP i 802.1x ISE uwierzytelnienie/autoryzacja/profilowanie 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 4

Agenda Dodatkowe informacje Trustsec, kontekst, atrybuty Uwierzytelnienie i autoryzacja Profilowanie urządzeń Architektura ISE Podsumowanie Będziemy dużo mówić o nowych funkcjonalnościach w ISE 1.2! 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 5

Czym jest TrustSec? Pomaga klientom zabezpieczać swoje sieci, dane i zasoby poprzez: Znajomość tożsamości użytkowników Opartą na regułach kontrolę dostępu Zapewnienie integralności i poufności danych TrustSec jest systemowym podejściem do zarządzania i kontroli dostępu do sieci i zasobów: IEEE 802.1X Technologie profilowania Usługi gościnne Secure Group Access (SGA) MACSec (802.1AE) Identity Services Engine (ISE) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 7

Cisco TrustSec TrustSec składa wszystkie elementy w jedną spójną całość ISE NAC, profile 802.1x /IBNS WiFi & VPN TrustSec Identity Services Engine Pojedynczy punkt zarządzania politykami i usługami bezpieczeństwa One to rule them all 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 8

Cisco Identity Services Engine (ISE) Centralny system zarządzania politykami Kto Co Gdzie Kiedy Jak Kontekst tożsamości Atrybuty polityk bezpieczństwa Polityki istotne biznesowo Wired Wireless VPN Urządzenia IP, pracownicy, goście, użytkownicy zdalni 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

Proces uwierzytelnienia Identyfikacja użytkowników lub urządzeń końcowych Użytkownik I/LUB ISE Active Directory, Generic LDAP, PKI Maszyna EAPoL RADIUS local DB RADIUS, np. Safeword Token Server user1 C#2!ç@_E( User/Password Certificate Token RSA SecureID Sekwencje Przeglądania źródeł uwierzytelnienia 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

Identity Services Engine (ISE) Identity Stores / Attribute Sources Dodatkowe informacje Identity Store ISE RADIUS System operacyjny Internal Endpoints, Internal Users RFC 2865-compliant RADIUS servers Active Directory Microsoft Windows Active Directory 2003, 32-bit only Microsoft Windows Active Directory 2003 R2, 32-bit only Microsoft Windows Active Directory 2008, 32-bit and 64-bit Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bit Microsoft Windows Active Directory 2012 LDAP Servers SunONE LDAP Directory Server, Version 5.2 Linux LDAP Directory Server, Version 4.1 NAC Profiler, Version 2.1.8 or later Token Servers RSA ACE/Server 6.x Series RSA Authentication Manager 7.x Series RADIUS RFC 2865-compliant token servers SafeWord Server prompts 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

Uwierzytelnienie w ISE Kto = 802.1X Użytkownicy wewnętrzni Kto? Jak? Różne reguły dla różnych użytkowników: Pracownicy, partnerzy biznesowi, goście. studenci, dostęp zdalny itp. Nazwa reguły Warunki Dozwolone protokoły Baza tożsamości 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

Uwierzytelnienie w ISE Reguły i warunki Kto? Jak? Policy/Policy Elements/Conditions/Authentication/Compound Conditions Policy/Authentication 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

Zestawy polityk Konfiguracja i ograniczenia Gry aktywowane po raz pierwszy wszystkie polityki są przypisane do zestawu domyślnego Nowe zestawy polityk trzeba stworzyć od początku. Nie można skopiować polityk z domyślnego zestawu. Nowo stworzone zestawy można powielać w całości Wracając do trybu zwykłego tracimy konfigurację z zestawów 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

Zestawy polityk Logi i raporty z procesu uwierzytelniania Zestawy polityk zostały ujęte w odpowiednich raportach oraz podsumowania Globalne i lokalne reguły wyjątków są ujęte w raportach Nazwy zestawów polityk są ujęte w raportach 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

Urządzenia innych firm i MAB Nie ma zdefiniowanego standardu dla uwierzytelnienia MAC Cisco używa atrybutu Service-Type = Call- Check dla wykrycia MAB oraz Calling- Station-ID jako identyfikatora urządzenia. Większość rozwiązań innych firm używa Service-Type = Login dla 802.1X, MAB oraz WebAuth W niektórych rozwiązaniach nie ustawia się zawartości atrybutu Calling-Station-ID na adres MAC. W ISE 1.2, MAB może działać z różnymi wartościami pól: Service-Type, Calling- Station-ID oraz pola password" Ze względów bezpieczeństwa rekomeduje się pozostawienie ustawień domyślnych 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

ISE i uwierzytelnienie Web Kto? Zcentralizowany portal z możliwością dopasowania poszczególnych elementów Dla użytkowników oraz gości Elastyczne polityki dotyczące nazw użytkowników i chaseł Powiadomienia drukowane/email/sms 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

Monitoring zdarzeń w ISE Live authentications Granatowe wiersze = poprawne uwierzytelnienia z licznikiem ilości prób uwierzytelnienia 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 23

Live Authentications Log Liczniki zdarzeń Po kliknięciu uzyskujemy raport Misconfigured Supplicants: Suplikanty którym mimo ciągłych prób nie udało się dołączyć do sieci przez ostatnie 24 godziny Misconfigured Network Devices: Urzązenia sieciowe z agresywnie skonfigurowanym accountingiem RADIUS Drops: błędy RADIUS z ostatnich 24 godzin Client Stopped Responding: Suplikanty które przestały odpowiadać w ciągu ostatnich 24 godzin Repeat Counter: Kolejne, powtarzające się i identyczne żądania uwierzytelnienia (bez zmiany atrybutów tożsamości, autoryzacji itp) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 26

Live Sessions Log Podgląd stanu sesji oraz jego kontrola (CoA Action) Sesja może być w jednym z 6 stanów Możemy kontrolować stan sesji i go zmieniać za pomocą akcji CoA 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 28

Live Sessions Log Liczniki powtórzeń Możemy aktywować liczniki powtórzeń związane z funkcjonalnością Noise Suppresion Liczniki można resetować globalnie oraz per sesja Jeśli nie widzisz liczników upewnij się że odpowiednia opcja Add or Remove Columns jest zaznaczona 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 29

Wygodne narzędzia pracy User name MAC Address IP Address Authorization Profile Endpoint Profile Failure Reason Identity Group Identity Store Network Device name Network Device Type Operating System Posture Status Location Security Group User Type 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

Różne mechanizmy autoryzacji dostępu Określenie tożsamości umożliwia wprowadznie różnych mechanizmów autoryzacji dostępu i wymuszenia polityk Trzy podstawowe mechanimy to: Dynamiczne przypisanie VLAN Dynamiczne ściągnięcie i przypisanie ACL Security Group Access Control List (SGACL) Dwa pierwsze działają na wejściu, SGACL natomiat na wyjściu. Autoryzacja na żądanie w oparciu o: Radius Change of Authorization (RFC 3576 and 5176) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 31

Autoryzacja w ISE Kto? Kto? Who? Permissions = Authorizations Employee_iPAD Set VLAN = 30 (Corp Access) Contractor_iPAD Set VLAN = 40 (Internet Only) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 32

Profilowanie Widoczność PC-ty Nie-PC-ty UPS Telefon Drukar. AP Zalety profilowania - Widzimy prawdziwy obraz naszej sieci - Dane historyczne i śledzenie urządzeń - Zrozumienie dlaczego dane urządzenie zostało tak a nie inaczej sprofilowane - Zapewniamy bezpieczny dostęp do odpowiednich zasobów 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 36

Profilowanie - wybór sond Sondy są mechanizmem profilowania używanym przez ISE. Należy dopasować odpowienie w zależności od sytuacji. RADIUS HTTP DHCPSPAN DHCP SNMP Netflow DNS 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 37

Zbieranie próbek do analizy Przykład DHCP via IP Helper Co? DHCP-REQ PSN Prosta i bardzo dobra metoda przekazania ruchu DHCP do ISE Wymaga konfiguracji DHCP relay na urządzeniu wymuszającym polityki Sonda DHCP na ISE wyciągnie z danych informacje dla polityk profilowania Dla WLC należy wyłączyć DHCP proxy Przykład konfiguracji: Interface Vlan50 Ip address 10.1.10.1 255.255.255.0 ip helper-address 10.1.100.10 Ip helper-address 10.1.100.5 (dla ISE) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 38

Zbieranie próbek do analizy Przykład z IOS Sensor Co? PSN Agreguje i przekazuje dane do profilowania pomiędzy urządzeniem wymuszającym polityki a ISE z wykorzystaniem Radiusa Urządzenia zbierają dane z DHCP, LLDP oraz CDP. Dane te są przesyłane jako atrybuty RADIUS cisco-av-pair w ramach procesu RADIUS accounting DHCP, CDP, LLDP Over Radius IOS Sensor - Wspierane od IOS 15.0(1)SE1 dla Cat 3K - Wspierane dla IOS 15.1(1)SG dla Cat 4K - Wspierane od WLC 7.2.11 Przykład konfiguracji: device-sensor accounting device-sensor notify all-changes IOS-Sensor konfiguracja: http://www.cisco.com/en/us/docs/switches/lan/catalyst3750/softwar Advantages: improved scalability e/release/15.0_1_se/device_sensor/guide/sensor_guide.html and simplified deployment 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 40

Przykład dla IOS Sensor - co widać na ISE? What? Dane zebrane przez IOS Sensor Dane CDP oraz DHCP przesłane z wykorzystaniem Cisco-AV-Pair 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 41

Zbieranie próbek do analizy Przykład NMAP (Targeted Scan) Co? Skan wywołany przez politykę OUI = Apple PSN PSN Skan podsieci na żądanie Narzędzie NMAP wbudowane w ISE pozwala wykrywać w procesie profilowania nowe urządzenia końcowe poprzez snanowanie podsieci i klasyfikowania urządzeń w oparciu o usługi wykryte przez NMAP. Skan sieci w oparciu o NMAP jest aktywnym mechanizmem jako że komunikuje się bezpiśrednio z urządzeniem w celu zebrania informacji u źródła. Skan może być wywołany dynamicznie w oparciu o politykę profilowania. 10.76.40.0/24 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 42

Przykład dla NMAP - co widać na ISE? What? Aktywny skan wywołany przez polityki Jeżeli wykryjesz urządzenie o profilu Apple Device wtedy Skanuj i raportuj wersję IOS. 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 43

Polityki profilowania przykładowe wymagania dla profili Dodatkowe informacje Profil Atrybuty Sondy Metody zbierania Cisco IP Phone OUI RADIUS RADIUS Authentication CDP SNMP Query Triggered by RADIUS Start IP Camera OUI RADIUS RADIUS Authentication CDP SNMP Query Triggered by RADIUS Start Printer OUI RADIUS RADIUS Authentication POS Station (static IP) DHCP Class Identifier DHCP MAC Address RADIUS (MAC RADIUS Authentication Address discovery) ARP Cache for MAC to IP mapping SNMP Query Triggered by RADIUS Start DNS name DNS Triggered by IP Discovery Apple ipad/iphone OUI RADIUS RADIUS Authentication Browser User Agent HTTP Authorization Policy posture redirect to central Policy Service node cluster DHCP Class Identifier + MAC to IP mapping DHCP IP Helper from local L3 switch SVI Device X MAC Address RADIUS (MAC Address discovery) RADIUS Authentication Requested IP Address for MAC to IP DHCP RSPAN of DHCP Server ports to local mapping Policy Service node Optional to acquire ARP Cache for SNMP Query Triggered by RADIUS Start MAC to IP mapping Port # traffic to Destination IP Netflow Netflow export from Distribution 6500 switch to central Policy Service node 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 46

Tworzenie własnych profili Wykrywanie UPS-a Co zrobić w sytuacji gdy ISE nie sprofiluje urządzenia (np.: APC UPS)? ISE zna OUI oraz inne parametry urządzenia które można wykorzystać do przygotowania własnego profilu Atrybuty które możemy wkorzystać do pisania profilu pochodzą z sond profilowania. 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 47

Tworzenie własnych profili Wykrywanie UPS-a Dla już wykrytych urządzeń możemy przypisać politykę. Profil zostanie automatycznie rozesłany do wszystkich węzłów ISE i UPS APC zostanie sprofilowany w całej sieci. Profile tworzone przez klientówi i partnerów Cisco mogą być następne udostępniane poprzez Cisco Feed Services. Cisco Feed Services 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 48

Profiler Feed Service Dostępność profili Zero Day PSN Cisco PSN Feed Server DB Partner Notyfikacje dla administratora Nie trzeba czekać na nową wersję ISE Profile dla popularnych urządzeń dostępne naychmniast dzięki Feed Server 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 49

Autoryzacja w ISE Przykład dla urządzeń mobilnych przed ISE 1.2 Kto? Co? Co=? Kto= Employee Permissions = Authorizations Employee Phone Set VLAN = 601 (Internet Only) Employee PC Set VLAN = 603 (Full Access) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 50

Grupy logiczne profili Co? IP-Phones Dla ułatwienia pisania polityki można zgrupować profile urządzeń Android/IOS/BB jako wspólny profil SmartPhones ios-devices 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 51

Autoryzacja w ISE Przykład dla urządzeń mobilnych z logicznymi profilami Kto? Co? What =? Who = Employee Permissions = Authorizations Employee Phone Set VLAN = 601 (Internet Only) Employee PC Set VLAN = 603 (Full Access) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 52

Możliwość definicji akcji CoA per profil Polityka CoA per profil procesy uwierzytelniania i profilowania działają asynchronicznie CoA dla profilowania musi być także ciągle uruchomione globalnie Globalna polityka CoA 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 53

Profile jako atrybut w politykach Nie musimy już używać Identity Groups Registered Profile BYOD Registration Status też jest teraz atrybutem Bardziej elastyczne i intuicyjne tworzenie polityk z profilami i dla urządzeń mobilnych 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 54

Cisco ISE Personas Policy Administration Node (PAN) Interfejs do konfigurowania polityk oraz zarządzania systemem Dostęp do baz danych z prawami zapisu Policy Service Node (PSN) Podejmuje decyzje na podstawie polityk Serwer RADIUS-a oraz kolektor danych do profilowania Główny silnik całego systemu Monitoring and Troubleshooting Node (MnT) Interfejs do raportowania i przeglądania logów Zbiera wiadomości syslog z urządzeń sieciowych Inline Posture Node (IPN) Wymusza polityki 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 56

Jak to działa w praktyce... Network Access Device Punkt wymuszania polityk bezpieczeństwa Monitoring and Troubleshooting Logowanie i raportowanie Policy Service Node (główny silnik systemu) RADIUS, Profiling, WebAuth, Posture, Sponsor Portal Client Provisioning Policy Administration Node: Interfejs funkcji zarządzania, synchronizacja z innymi węzłami Admin NAD MnT PSN PAN RADIUS od NAD do PSN Policy Sync Użytkownik Odpowiedź RADIUS od PSN do NAD RADIUS Accounting syslog syslog PSN odpytuje zewnętrzne bazy danych 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 57

Wdrożenia rozdystrybułowane Skalowanie i niezawodność Admin (P) Monitor (P) PAN MnT Policy Services Cluster PSN PSN PSN PSN Admin (S) Monitor (S) PAN MnT Distributed Policy Services PSN PSN HA Inline Posture Nodes IPN IPN Data Center A AD/LDAP (zewnętrzne bazy tożsamości) DC B AD/LDAP (zewnętrzne bazy tożsamości) ASA VPN WLC 802.1X AP WLC 802.1X Switch 802.1X Switch 802.1X AP Oddział A Oddział B PSN Oddział C PSN AP Switch 802.1X AP Switch 802.1X AP Switch 802.1X 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 58

Wdrożenia rozdystrybułowane Zmiany architekturalne w ISE Nowy relacyjny system bazodanowy o dużo lepszych parametrach wydajnościowych (operacje odczytu/zapisu) 64 bitowy system operacyjny Bardziej efektywny system replikacji i synchronizacji danych pomiędzy węzłami Lepszy system opisywania urządzeń i aktualizacji danych je opisujących RADIUS PSN PAN PSN DHCP 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 59

Nowe platformy Cisco Secure Network Server (SNS) SNS-3415-K9 / SNS-3495-K9 Platforma bazuje na serwerze Cisco UCS C220 M3 Jedna platforma dla wszystkich systemów bezpieczeństwa Cisco: Cisco Identity Services Engine (ISE) Access Control Server (ACS) Network Admission Control (NAC) NAC Guest Server (NGS) Instalacja ISE na każdej inne platformie serwerowej wymaga instalacji VMware Wspierana przez: ISE 1.1.4 (kwiecień 2013) ISE 1.2 (lipiec 2013) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 60

Skalowanie platform Policy Service Node (PSN) and Concurrent Endpoint Max Number Specifications by Deployment Model Max # Deployment Model Platform Max # PSNs Endpoints Standalone (all 33xx N/A 2,000 personas on same 3415 N/A 5,000 node) 3495 N/A 10,000 Admin + MnT on same node; Dedicated PSN Dedicated Admin and MnT nodes Dodatkowe informacje 3355 as Admin+MnT 5 5,000 3395 as Admin+MnT 5 10,000 3415 as Admin+MnT 5 5,000 3495 as Admin+MnT 5 10,000 36 (1.1) 40 (1.2) 100,000 3395 as Admin and MnT 3495 as Admin and MnT 40 (1.2) 250,000 Dedicated PSN Max Concurrent Endpoint Count (All Services) ISE-3315 3,000 ISE-3355 6,000 ISE-3395 10,000 SNS-3415 5,000 SNS-3495 20,000 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 61

Dodatkowe informacje Localization: 10 New Languages 3 rd Party MDM Integration Profiler: Feed Service, configurable SNMP strings Logical Profile Groups & Profile as Attribute Web Portals: Mobile Friendly, Multi- Interface, New Themes Policy Sets (ACS Parity) Certificates: Wildcard Certs, Custom SAN, New Cert Fields, Cisco Mfg Certs Loaded, Cert Expiry Alarms. dacl Checker Custom CoA Action Per Profile Upgrade Process Shortened and Simplified DB Changes: Improved Scaling/WAN Replication Re-Written Reporting w/ Scheduling 3 rd Party MAB Support 64-Bit Architecture Appliance Refresh (UCS-Based) Higher Capacity Per Node / Deployment External RESTful Services (ERS) API Registration Status as an Attribute Bootstrap Wizard Windows 2012 Support TCP and Secure Syslog View Logs from CLI Live Sessions Log Search & Session Trace Tool Guest: Max Session Limit, Activated Guest Role, Extend Duration/Reactivate Expired, Change Time, CoA on Guest Expiry/Delete Backup / Restore Progress Bars, Cancel, Schedule Licensing for Both Primary & Sec Admin Nodes Optimized Logging and Simplified Alarming VMware Cloning and vmotion Support Service Templates for SANet Common Criteria 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 63

Integracja ISE z Prime 2.0 Widoczność polityk i tożsamości Tożsamość urządzenia lub profil z ISE Parametry AAA przypisane do klienta Informacje o politykach przypisanych przez ISE 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 64

Gdzie szukać informacji? Trustsec & ISE on Cisco.com http://www.cisco.com/go/trustsec http://www.cisco.com/go/ise TrustSec & ISE Deployment Guide: 2012 Cisco and/or its affiliates. All rights reserved. Cisco Public 65